Enfoque de Control Interno..COBIT Auditoria y Control de gestión Gabriela Rementería Otoño 2013
La Administración con la TI Expectativas
-Ciclo de vida de los productos disminuye -El nivel del Servicio aumenta -Los costos en TI aumentan
Responsabilidades -Salvaguardar activos
-La información ha llegado a ser el bien de mayor valor
-Rediseño de procesos
-La necesidad de calidad aumenta
-Retorno sobre la inversión TI
-Mejoramiento continuo -Procesos distribuidos -Organizaciones aplanadas
Expectativas y Responsabilidad necesitan de un ambiente de control
La Administración y el Control La Administración para concentrarse en el logro de sus objetivos debe establecer adecuados sistema de de CI. El SCI existe para para dar soporte a los procesos del negocio, para promover la eficiencia/eficacia de las operaciones, dar cumplimiento al marco normativo y lograr la confiabilidad de los informes Financieros (COSO)
La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entiende ahora como elementos claves del gobierno de las organizaciones. El valor, el riesgo y el control constituyen la esencia del………………
Gobierno del TI El Gobierno del TI es responsabilidad de la Alta Dirección, de los equipos directivos y consta de liderazgos, estructuras y procesos organizacionales que garantizan que la TI de la organización sostiene y extiende las estrategias y objetivos institucionales.
Control OB jectives for Information and related Technology
Misión Investigar, desarrollar y promover un set internacional de objetivos de control relacionados con la TI. Su uso y aplicación puede ser tanto para la Dirección como la para la Auditoria
VISION SER EL MODELO DE CONTROL PARA TI
Áreas focales del Gobierno TI
- Alineación Estratégica: se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la organización. -Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI - Administración de recursos: se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas. - Administración de Riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos, un claro entendimiento del deseo de riesgo que tiene la organización, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos, y la inclusión de las responsabilidades de adm. de riesgos dentro de la organización. -Medición del Desempeño: Rastrear y monitorear la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio.
Productos de Cobit Se organizan en tres niveles: Administración y Consejo Ejecutivo Administración del negocio y de TI Profesionales en gobierno, aseguramiento, control y seguridad !
!
!
Por qué necesita COBIT? Alta Dirección -Para evaluar las decisiones de inversión en TI -Para balancear riesgos y controles de las inversiones -Para comparar lo existente y el ambiente futuro de TI En definitiva: Lograr una seguridad razonable que los objetivos del negocio, apoyados por TI, serán alcanzados, y que la exposición al riesgo es tratada.
Auditores Provee criterios para la revisión y evaluación de ambientes TI. Además, Permite mejora la eficacia y efectividad de la auditoria. Permite dar respuesta a la pregunta: ¿Qué controles mínimos son necesarios?
Informática Para evaluar su gestión Y mejorar sus actividades
Usuarios Para tener certeza sobre el nivel de control de los productos que provee el servicio y terceras partes.
COBIT: En qué consiste? Consiste en un medio de control de la TI, basado en criterios de negocios, documentado por objetivos de control, organizado en dominios, procesos y actividades TI
Aspectos principales del ámbito COBIT
Requerimientos de la organización !
!
!
Requerimiento de Calidad: Calidad, entrega y costo Requerimiento de Seguridad: Privacidad, Integridad y disponibilidad Requerimientos Fidiuciarios: Efectividad y eficiencia de las operaciones, Cumplimiento con leyes y regulaciones, y Confiabilidad en los reportes financieros
Siete criterios de la información
Efectividad, Eficiencia Confidencialidad Integridad, Disponibilidad Cumplimiento Confiabilidad
Requerimientos de la organización !
Metas de negocio y de TI
Recursos TI
-Las aplicaciones incluyen, tanto sistemas de usuario automatizados como procedimientos manuales que procesan información -La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio. -La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soportan), que permiten el procesamiento de las aplicaciones. -Las personas son los funcionarios requeridos para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.
Proceso TI: Dominios Dominio: Agrupación natural de procesos
Dominios de COBIT -Planeación y organización -Adquisición e implementación -Entrega y soporte -Monitoreo y evaluación
Los cuatros dominios están compuestos de 34 subdominios/procesos Cada subdominio tiene registrado: -El criterio de la TI al cual es relevante -Recursos TI involucrados -Objetivos de control -Pruebas detalladas de auditoria
El Cubo de COBIT
Orientación a los procesos Planeación y organización n ó i c p i r c s e D
Este dominio cubre las estrategias y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberá establecerse una organización y una infraestructura tecnológica apropiada.
Tópicos -Estrategia y tácticas -Visión planeada -Organización e infraestructura
s a t n u g e r P
1. Están las TI y los negocios estratégicamente alineados? 2. Esta alcanzando la entidad un óptimo uso de sus recursos 3. Alguien en las organización entiende los objetivos de TI 4. Son los riesgos de TI entendidos y están siendo administrados? 5. Es la calidad de los sistema de TI apropiada para las necesidades de la entidad?
Orientación a los procesos Adquisición e Implementación n ó i c p i r c s e D
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida es continuo para esos sistemas
Tópicos -Soluciones de TI -Cambios y mantenimientos
s a t n u g e r P
1. Los nuevos proyectos tienen probabilidad de entregar soluciones que satisfagan las necesidades de la entidad? 2. Los nuevos proyectos tienen probabilidad de entregar a tiempo y dentro de presupuesto? 3. Los nuevos sistemas trabajaran apropiadamente cuando se entreguen? 4. Los cambios serán realizados sin alterar las actuales operaciones de la organización?
Orientación a los procesos Entrega y soporte n ó i c p i r c s e D
A este dominio le concierne la entrega efectiva de los servicios requeridos, que van desde las operaciones tradicionales pasando por los aspectos de seguridad y continuidad hasta el entrenamiento. Para prestar servicios, se deben establecer los procesos de soporte necesarios. Este dominio incluye el procesamiento efectivo de datos mediante los sistemas de aplicación, clasificados a menudo bajo los controles de aplicación.
Tópicos -Entrega de los servicios requeridos -Establecer los procesos de soporte -Procesamiento por los sistemas aplicados
s 1. a t 2. n 3. u g 4. e r P
Están siendo los servicios de TI entregados en línea con las prioridades de la entidad? Son los costos de TI optimizados? Es capaz la fuerza de trabajo de usar los sistemas productivamente y seguramente? Es adecuada la seguridad, integridad y disponibilidad?
Orientación a los procesos Monitorear y Evaluar n ó i c p i r c s e D
Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo por su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve así la supervisión del proceso de control de la administración y el aseguramiento independiente suministrada por la auditoría interna y externa u obtenida por fuentes alternativas
Tópicos
s 1. a t -Evaluar sobre tiempos, n 2. asegura la entrega u -Supervisión del g e sistema de control r -Medir desempeño P
Se puede medir el desempeño de TI y los problemas pueden ser detectados antes que sea tarde? Se necesita aseguramiento independiente para asegurarse que las áreas críticas están operando como se espera?
MODELO DEL MARCO DE TRABAJO DEL COBIT
Objetivos del Negocio
ME1 Monitorear y evaluar el desempeño TI ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio ME4 Proporcionar gobierno TI
Monitorear y evaluar
Información
PO1 Definir el plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relaciones de TI PO5 Administrar la inversión de TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos
Efectividad, Eficiencia Confidencialidad Integridad, Disponibilidad Cumplimiento y Confiabilidad
Planear y Organizar
Recursos Aplicaciones Información Infraestructura Personas
DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar datos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos
Entregar y dar soporte
Adquirir e implantar
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automatizadas Adquirir y mantener el software aplicativo Adquirir y mantener la infraestructura tecnológica Facilitar la operación y el uso Adquirir recursos de TI Administrar cambio